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La presente invention concerne un algor ithme 
d' exponentiation modulaire anti SPA, de 
1' anglais * Simple Power Attack " dans un 
composant electronique mettant en ceuvre un 
algorithme de chiffrement a cle publique. 

Les caracteristiques des algorithmes de cryptographie d 
cle publique sont connus : calculs effectues , 
paramfetres utilises . La seule inconnue est la cle 
privee contenue en memoire program m e . Toute la 
securite de ces algorithmes de cryptographie tient dans 
cette cle privee contenue dans la carte et inconnue du 
monde exterieur de cette carte. Cette cle privee ne 
peut etre deduite de la seule connaissance du message 
applique en entree et du message chiffre fourni en 
retour ou de la connaissance de la cle publique. 
Or il est apparu que des attaques externes, 
basees sur les consoxamations de courant ou une 
analyse de consommation en courant lorsque le 
microprocesseur d'une carte est en train de 
d£rouler 1 9 algor ithme de cryptographie pour 
signer un message, dechiffrer un message, 
permettant a des tiers mal intentionnes de 
trouver la cle privee contenue dans cette carte. 
Ces attaques sont appelees attaques SPA, 
acronyme anglo-saxon pour Single Power Analysis. 
Le principe de ces attaques SPA repose sur le 
fait que la consommation de courant du 
microprocesseur executant des instructions varie 
selon la donnee manipulee. 

Notamment, quand une instruction executee par le 
microprocesseur necessite une manipulation d'une 
donn£e bit par bit, on a deux profils de courant 
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differents selon que ce bit vaut * 1 " ou * 0 " . 
Typiquement, si le microprocesseur manipule 
un * 0 ", on a a cet instant .d' execution une 
premiere amplitude du courant consomme et si le 
5 microprocesseur manipule un * 1 ", on a une 
deuxieme amplitude du t courant consomm6, 
differente de la premiere. 

Ainsi l'attaque SPA exploite la difference du 
profil de consommation en courant dans la carte 

10 pendant 1' execution d'une instruction suivant la 
valeur du bit manipule. D'une mani^re 
simplifiee, la conduite d'une attaque SPA 
consiste a identifier une ou des periodes 
particuli^res du d^roulement de l'algorithme 

15 comprenant 1' execution d' au moins une 
instruction manipulant des donnees bit par bit 
et a distinguer deux profils de consommation de 
courant differents, l'un correspondant a la 
manipulation d'un bit egal a " 0 " et 1' autre 

20 correspondant a un bit egal a * 1 " . L' analyse 
s'effectue sur une courbe ou e ventuelleicient sur 
n courbes du meme deroulement de l'algorithme 
moyenne pour supprimer le bruit. 

25 L' exponentiation modulaire est defini par la 
formule mathematique suivante : 
R= X Y mod N, 

dans laquelle : 

30 

Y est un exposant qui a une taille de k bits ; 
N est un modulus qui a une taille de k' bits. 
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X est une variable connue qui a une taille de 
k' ' bits ' ; . •■ 

R. . est , le* - resultat 'de l'operation 
d' exponentiation modulaire et- a une taille de k' 
5 bit s •.' ' ' s\ '■*':•■•. ' " 

On peut; utiliser les al'g.or ithmes c 1 ass i'qu : e s A ou 
. B connus et- decrits ci-d.essous. . 

L' algor ithme . classique A. utilise pour le c'alcul 
10 de • la foridule': mathemat i-que' ci dessus mentionnee 
est le suivant' -: '«:*• 

-'.On initialise R a 1 ': ■ R=l ; ■■ - 
.'- On parcours la representation binaire de Y 
du bit ;de p.oids fort.-, note Y(k-l) • vers le bit 
15 de poids- faible Y(0); 

pour chaque bit Y(i)., i variant de (k-1) a 
0, .'on -effectue • If operation suppleiaentaire : 
' ■'■a*R a i; K " ... • 

■ ' Si le -bit Y(i) est egal a l f une etape 
20- suppleiaentaire est executee qui consiste en 

operation : • 

R~R*X.. . 

Si par exeitiple Y 'est; egal a 5,- sa representation 
25 binaire est' : ; 101 ; - 

Si on applique 1' algorithme ci-dessus : 

- pour le "premier bit [Y(2)=l], on effectue 
R=R 2 stfivi de l'operation : R*X=X, solt le 
resultat R=X .; 
30 ' - pour le second bit [Y(l) a 0], on effectue 

l'operation R=R 2 soit le resultat R=X 2 ; 

pour le troisieme bit [Y(0)=1], on 
effectue l'operation R=(R 2 ) 2 suivi de 



l'operation R=R*X soit le resultat : 
R=(X 2 ) 2 =X 5 . 

Pour rappe.l, on reprend toujours le- R 
precedent. -.era-: . . c 

eaeciiue .'.operation : Z=Z -=X~ et 
Bien sur, toutes " les 'Op'eraabi'jons a mithemati^es 
decrites pour 1' example *.:Yn Sfe=t? • 6gal (&:sont 
effectuees modulo . N ce qui permet de travailler 
avec un registre r d'une faille de bits. 

L' algorithme c las si que B \ utilise . pour: ! le . calcul 
de la formule mathemat ique' ci-dessus mentionnee 
est le suivant : 

on initialise R a 1 et 2 a X : 
R=l et Z=X, Z etant une variable : 
on parcours la representation binaire 
* de Y du bit de poids faible Y(0) vers 
le bit de poids fort Y(k-l) ; 
pour chaque bit Y(i), i variant de 0 
& (k-1), on effectue l'operation 
supplementaire : Z=Z 2 , quelque soit i 
superieur a 0 ; 

si le bit Y(i) est egal a 1, une 
etape supplementaire est executee qui 
consiste en 1' operation : R=R*Z. 

Si par exemple Y est egal a 5, sa representation 

binaire est 101. 

Si on applique 1 ' algorithms ci-dessus : 

pour le premier bit, on a Y{0)=1 ; on 
n' effectue pas l'operation Z 2 (car 
i=0) et on effectue l'operation : 
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pour le second bit, on a [Yd) 1=0, on 
effectue 1' operation Z 2 =X Z ; R est 
inchange car Y(1)=0 ; 

pour le troisieme bit [Y(2)=l], on 
5 effectue 1' operation : Z=Z*=X« et 

comme Y(2) est., egal a 1, on fait 
aussi l'operation R=R*Z et on obtient 
done X 5 . 

Pour rappel, .on reprend toujours le R et le Z 

10 precedent. 

Bien sur, toutes les ' operations ' mathemat iques 
decrites pour 1' exemple Y est egal a 5 sont 
effectuees modulo N ce qui permet de travailler 
avec des registres r et z d' une taille de k' 

15 bits. 

Cependant, . cet algorithme B est rarement utilxse 
dans un composant electronique de type carte a 
puce car 11 necessite plus de memoire (registre 
supplemental^ z d'une taille de k' bits). 
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On constate que, sur les algorithmes classiques 
A et B expliques ci-dessus, en fonction de 
chaque bit de Y on effectue une operation si le 
bit est egal a 0 et deux operations si le bit 
25 est egal a .1 . Ces algorithmes A et B sont 
utilises pour le RSA. Pour rappel, le systeme de 
chiffrement RSA est le systeme de chiffrement a 
cle public le plus utilise. II pent etre utilise 
comme precede de chiffrement ou comme precede de 
30 signature. Le systeme de chiffrement RSA est 
utilise dans les cartes a puce pour certaines 
applications de celles-ci. Les applications 
possibles de RSA sur une carte a puce sont 
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1'acces a des banques de donnees, des 
applications bancaires, des applications de 
paiements a . distance, comme par exemple la 
television a peage, la distribution d' essence ou 
le paiement de peages d'autoroute. Cette liste 
d' applications est bien sflr non exhaustive. 

Le principe du systeme de chiffrement • RSA 
est le suivant. II peu t etre divise en trois 
parties distinctes qui sont : 

1) La generation de la paire de cles RSA ; 

2) Le chiffrement d'un message clair en un 
message chiffre, et 

3) Le dechif frement d'un message chiffre en un 
15 message clair. 

Une operation RSA de chiffrement consiste en ce 
qu'on calcule un chiffre c qui est egal a un 
message M e mod N represente par l'operation :C= 
M a mod N/ dans laquelle e est l'exposant publique' 

20 de chiffrement et N est le modulus. 

Une operation RSA de dechi f frement consiste en 
ce qu'on calcule un .message M' qui est egal a M 
si on dechiffre de maniere juste et est 
represente par l'operation: 

25 M'= C d mod N, 

dans laquelle d est l'exposant prive de 
dechif frement et N le modulus. 

On constate que le RSA est directement une 
operation d' exponent iation modulaire. 
30 II s'avere que d est un element secret puisque 
prive ; on constate done que d est equivalent 4 
Y de l'algorithme classique A ou B, algorithmes 
decrits au debut de la description. Cependant, 
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ces algorithmes utilises pour le RSA peuvent 
etre attaques par simple etude de la 
consommation. de courant du composant 
electronique mettant en oeuvre 1' invention. 
5 En effet, si on consid£re que la signature S 
d'une operation R 2 pour 1'- algorithme A et Z 2 
pour 1' algorithme B appelee 

" operation square " , notee S (SQU) , est 

differente de la signature S de 1' operation R*X 

10 pour 1' algorithme A et Z*R pour 1 ' algor ithme B, 
appelee u operation multiply ", notee S (MUL) , 
alors la consommation de courant, lors de 
1' execution de 1 f algorithme A ou B decrits 
pr£c§demment , consiste en une succession de 

15 signatures S(SQU) et S(MUL) directement 
dependante de Y. 

Par exemple, dans le cas de i ' algorithme A, pour 
Y 6gal A 5, on aura la succession suivante de 
signatures : 

20 [S(SQU), S(MUL)], tS(SQU)], (S(SQU), S (MUL) ] , 
dans laquelle succession ies signatures [S(SQU)] 
suivie de [S(MUL)] correspond a un bit egal a 1 
et la signature [S(SQU)] suivi de la signature 
[S(SQU)1 correspond a un bit egal a 0. 

25 Simplement en regardant la consommation de 
courant si on sait differencier S(SQU) de 
S (MUL) , on peut retrouver 1 ' integrali tfe de la 
valeur Y. Si on applique cette attaque au RSA 
decrit ci-dessus, on retrouve Y=d qui est 

30 l'exposant priv6 de dechi f f rement qui doit 
rester .secret par definition ce qui est done 
tres genant. 
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La presente invention permet de supprimer cet 
inconvenient majeur. 

Cependant, .pour bien insister sur 1 ' inventivite 
de la presente invention, il est utile de 
decrire un exemple d' amelioration des 
algorithmes A et B pourtant defaillants. 
Dans l'algorithme classique A ou B, on considere 
que le composant qui met en oeuvre 1' invention 
dispose d'une operation optimisee appelee 
Square ", notee SQU qui calcule de maniere 

plus efficace que l'operation « Multiply 
notee MUL . 

La premiere parade centre l'attaque consiste a 
utiliser uniquement l'operation MUL. Dans ce 
cas, il ne subsiste plus que la signature de 
l'operation - Multiply '' ce qui ne permet plus 
de distlnguer une quelconque information 
permettant de remonter a la valeur y . P i us 
precisement, l'operation mathematique 

" Multiply " a deux operandes V et W et est 
definie par la formule : 
MUL(V,W) = v*W. 

En theorie, on se protege mais dans la pratique 
on utilise l'operation MUL(V,V) ou l'operation 
MUL(V,W) ; il y a done encore une difference 
dans la consommation de courant puisque lea 
operandes sont differents. n ne s'agit p as 
d'une solution fiable. 

La presente invention consiste au calcul de 
1' exponentiation modulaire par i« present 
algorithme et permet d' eviter 1 ' inconvenient 
cite juste ci-dessus. 
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On utilise deux registres R x et R* et un 
indicateur I qui est §gal a zero, * 0 ", 
signifiant. que le resultat se trouve dans ie 
registre Ri ou qui est egal a un, w 1 
5 signifiant que le resultat se trouve dans le 
registre R2 ; ceci permet d' indiquer dans quel 
registre se trouve le bon resultat. 

L' algorithme de 1' invention qui reprend 
m 10 1 ' algorithme A consiste a s'executer par les 

^ etapes d' initialisation suivantes a et b et les 

etapes de calcul c, d , e et f qui sont 

effectuees k fois, k 6tant la taille de Y, 

etapes decrites ci-dessous: 
15 a) On initialise R 3 = l ; 

b) On initialise 1=0 ; 

Pour cha'que bit Y(i) de la representation 
binaire de Y, on effectue les quatre etapes c, 
d, e et f suivantes de * 0 " & xx k-1 " ; on 
20 parcours la representation binaire de Y du bit 
de poids fort Y(k-l) vers le bit de poids 
^ f aible Y (0) ; 

c) Si 1=0, on effectue l'operation R 2 = (Ri) 2 ; 2- 

Si 1=1/ on effectue 1' operation R x = (R 2 ) 2 ; 
25 d) On complemente I, c' est a dire il change de 
valeur mais uniqueiaent de * 0 " vers vx 1 " ou 
de xx 1 " vers N> 0 " ; 

e) On refait l'operation de test sur I : 

si 1=0, on effectue l'operation R 2 = Ri*X ; 
30 si 1 = 1, on effectue l'operation R x = R 2 *X ; 

f ) Si Y(i) est egal a 1, alors on complemente I ; 
si Y(i) est egal a 0, alors on garde I 
inchange . 
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Ainsi, quelque soit la valeur de Y, on execute 
toujours une operation de SQU et une operation 
de MUL. on aura done a l'etape d l'une. des deux 
signatures suivantes : 
5 S (R 2 =SQU(R 1 ) ) ou S(8,=SQU(R 2 J)! 

On aura aussi a l'etape f une des deux 
signatures suivantes : s (R^MUL <R 2/ X) ) OU 
S (R 2 =MUL(R X ,X) ) . 

Les signatures de l'etape c sont equivalentes 
10 car elles utilisent les memes operandes et 
effectuent la mSme operation (SQU) . 
Les signatures de l'etape e sont equivalentes 
car elles utilisent les memes operandes et 
effectuent la meme operation (MUL) . 
15 Par consequent, il n ' est plus possible de 
remonter a la valeur de Y qui sera une 
succession d'operations (SQU) et (MUL) 
L' application de la presente invention permet de 
calculer une exponentiation modulaire de maniere 
securisee dans un composant electronique mettant 
en oeuvre un algorithm a cle publique 
necessitant un .algorithme d' exponentiation 
modulaire . 

L' algorithme de la presente invention qui 
25 reprend 1' algorithme classique B consiste a 
• s'executer par les etapes d' initialisation 

suivantes a et b et les etapes de calcul 

suivantes c, d et e qui sont effectuees k foi S/ 

k etant la taille de Y: 
30 a) on initialise R x =l et Z=X ; 

b) on initialise 1=0 ; 

Pour chaque bit de Y(i) de la representation 
binaire de Y, on effectue les trois etapes c, d 



20 



11 



et e , i variant de - 0 - a * k-1 " ; on 
parcours la representation binaire de Y du bit 
de poids faible Y(0) v.ers le bit de poids fort 
Y(k-l) ; 

5 C ) on effectue l'operation : Z:=Z 2 ; 

d) si 1=0, on effectue l'operation : R 2 :=Ri*Z ; 
si 1=1, on effectue l'operation : Ri:=R 2 *Z ; 

e) si Y(i)=0, alors on garde I inchange et si 
Y(i)=l, alors on complemente I. 

10 Ainsi, gueique soit la valeur de Y, on execute 
toujours une operation de SQU et une operation 
MUL. On aura done a l'etape c la signature 
suivante : S (SQU) . 

On aura a l'etape d une des deux signatures 
15 suivantes : S <R-=MUL (R 2 , Z ) ) ou S <R 2 =MUL (R a , Z) ) . 
Les signatures de l'etape d sont equivalentes 
car elles utilisent les memes operandes et 
effectuent la meme operation (MUL) . 
Par consequent, il n' est plus possible de 
20 remonter a la valeur Y qui sera une succession 
d' operations (SQU) et (MUL). L' application de la 
presente invention permet de calculer une 
exponentiation modulaire de taaniere securisee 
dans un composant electronique mettant en oeuvre 
25 un algorithme a cle publique necessitant un 
algorithme d' exponentiation modulaire. 

Comme exemple de 1' invention, on utilise le DSA 
qui est une variante de 1 ' algorithme de 
30 signatures de Schnorr et ElGamal. 

Pour signer les etapes-m, les etapes suivantes 
sont realisees : 
1) Generation d'un nombre aleatoire K ; 
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2) Calcul de r= (g k modp) modq 

avec g, p et q des nombres entiers publics 
connus par le monde exterieur de- la carte a 
puce / 

3) Calcul de s=(K~'(H(m)+x*r) ) modq 

avec H() fonction de hachage et x une cle 
privee . 

Le couple (r,s) correspond a la signature du 
message m. 

On remarque que K est secret. 

L'etape 2 consiste en partie a une 
exponentiation modulaire : 

r'=g K modp et r=r'modq. 

Si 1' exponentiation modulaire est effectuee 
avec l'algorithme classique A ou B comme decrit 
precedemment, alors une attaque SPA permet de 
remonter a la valeur k. Connaissant k et comme 
s, m et r sont connus, l'attaquant peut calculer 
la cle secrete x. Ainsi, il a trouve la cle de 
la signature °et le systeme est casse. H est 
done preferable d'utiliser la presente invention 
ou sa variante de realisation pour effectuer 
1' exponentiation modulaire de l'etape 2 du 
present exemple. 

Ainsi, dans la presente invention, la methode 
de calcul de l'algorithme ne permettant pas de 
retrouver k par etude de la consommation de 
courant , l'attaquant ne peut pas remonter a la 
valeur de la cle privee x. 
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REVEND I CAT IONS 

1- Algorithme d' exporientiation modulaire defini 
par la formule mathematique suivante : 

5 R= X Y mod N, 

Y etant un exposant presentant une taille de k 
bits , 

N etant un modulus presentant une taille de k 
10 bits, 

X etant une variable connue presentant une 
taille de k' ' bits ; 

r etant le resultat de 1'operation 
d' exponentiation modulaire et presentant une 
15 taille de k' bits 

comprenant des registres Rl et R2 et un 
indicateur I, algorithme caracterise en ce qu' rl 
presente lea etapes d' execution suivantes 
20 comprenant les etapes a et b, dites etapes 
d' initialisation, et les etapes c, d et e, dites 
etapes de calcul : 

a) on initialise Ri=l et Z=X ; 

b) on initialise 1=0 ; 

25 pour chaque bit de Y(i) de la representation 
binaire de Y, on effectue les trois etapes c, d 
et e, i variant de - 0 " a • k-1 " ; on parcours 
done la representation binaire de Y du bit de 
poids faible Y(0) vers le bit de poids fort Y (k- 

30 i) ; 
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c) on effectue l f operation : Z:=Z 2 .; 

d) si 1=0, on effectue l'operation : R 2 :=Ri*Z ; 
si 1=1, on effectue l'operation : Ri:=R 2 *Z ; 

e) si Y(i)=0 / alors on garde I inchange et si 
5 Y(i)=l, alors on complemente I. 

2- Algorithme d' exponent iation modulaire defini 
par la formule mathemat ique suivante : 

10 R= X Y mod N, 

Y etant un exposant presentant une taille de k 
bits ; 

N etant un modulus presentant une taille de k' 
15 bits. 

X etant une variable connue presentant une 
taille de k' ' bits ; 

R etant le resultat de l'operation 
d' exponent iation modulaire presentant une taille 
20 de k' bits 
Et 

comprenant des registres Rl et R2 et un 
indicateur I, algorithme caracterise en ce qu' il 
presente les etapes d' execution suivantes 
25 comprenant les etapes a et b, dites etapes 
d' initialisation, et les etapes c, d, e et f, 
dites etapes de calcul : 

a) On initialise Ri=l ; 

b) On initialise 1=0 ; 

30 Pour chaque bit Y(i) de la representation 
binaire de Y, on effectue les quatre etapes c, 
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d, e et f suivantes, i variant de " 0 " a * k 
1 " , on parcours la representation binaire de Y 
du bit de poids fort Y(k-l) vers le bit de poids 
f aible Y (0) ; 
5 c) Si 1=0, on effectue 1' operation R 2 = (Ri) '> 
Si 1=1/ on effectue l'operation Ri= (R2) ; 

d) Dans les deux cas de l'etape d, on complement e 
I, c'est a dire il change de valeur mais 
uniquement de * 0 " vers - 1 " ou de • 1 " 

10 vers tt 0 " ; 

e) On refait l'operation de test sur I : 

si 1 = 0, on effectue l'operation R 2 = Ri*X ; 
si 1 = 1, on effectue l'operation Rj= R 2 *X ; 

f ) Si Y(i) est egal a 1, alors on complemente I ; 
15 si Y(i) est egal a 0, alors on garde I 

inchange. 

3- composant electronique caracterisee en ce 
qu'il met en oeuvre' l'une quelconque des 

20 revendications 1 a 2. 

4- Composant electronique selon la revendicat ion 
2 caracterise en ce qu'il est un objet 
portable electronique du type carte a puce. 
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5- Terminal electronique caracterise en ce s'il 
met en ceuvre l'une quelconque des revendications 



1 a 2. 



